Что самый легкий путь состоит в том, чтобы зашифровать dir? (на Ubuntu)
Что самый легкий путь состоит в том, чтобы зашифровать каталог в основанной на Ubuntu системе?
Скажем, у меня есть ноутбук, который запускает Ubuntu 10.04, и на этом у меня есть некоторые документы, которые должны бережно храниться (если я теряю ноутбук).
Скажем, все к документам находятся в названном ~ dir / работа/, и ничто секретное не вне этого dir. Так никакая потребность зашифровать весь домашний dir.
Должен быть способ блокировать/разблокировать этот dir из командной строки.
Кажется, существуют некоторые различные способы сделать это:
- ecryptfs-utils
- cryptsetup
- truecrypt (однако не OSI утвердил открытый исходный код),
Но каков самый легкий и самый надежный метод?
Спасибо Johan
Обновление: Связанный вопрос, но не то же, Что самый легкий путь состоит в том, чтобы зашифровать все мои файлы в человечности 10.04?
4 ответа
Существует три метода: настройте зашифрованный том на разделе (dm-crypt, настроенный с cryptsetup), настройте файл, который является зашифрованным томом (truecrypt), настройте каталог, где каждый файл шифруется отдельно (ecryptfs или encfs).
Установка зашифрованного тома дает немного больше конфиденциальности, потому что метаданные (размер, время изменения) Ваших файлов невидимы. На оборотной стороне это менее гибко (необходимо выбрать размер зашифрованного тома заранее). ecryptfs FAQ перечисляет некоторые различия между двумя подходами.
Если Вы выбираете шифровать файл файлом, я знаю о двух опциях: ecryptfs и encfs. Бывшее использование в драйвере ядра, в то время как последнее использование FUSE. Это может дать ecryptfs преимущество скорости; это дает encfs преимущество гибкости, поскольку ничто не должно быть сделано как корень. Возможное преимущество ecryptfs это, после того как Вы сделали начальную настройку, можно использовать пароль входа в систему в качестве пароля файловой системы благодаря pam_ecryptfs модуль.
Для моего собственного использования в аналогичной ситуации я выбрал encfs, потому что я не видел, что любая фактическая безопасность извлекла выгоду к другим решениям, таким образом простота в употреблении была определяющим фактором. Производительность не была проблемой. Рабочий процесс очень прост (первый показ encfs создает файловую систему):
aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work
Я рекомендую также зашифровать область подкачки и любое место, где временные конфиденциальные файлы могут быть записаны в, такой как /tmp и /var/spool/cups (если Вы печатаете конфиденциальные файлы). Использовать cryptsetup зашифровать Ваш раздел подкачки. Самый легкий способ иметь дело с /tmp должен сохранить его в памяти путем монтирования его как tmpfs (это может дать небольшой выигрыш в производительности в любом случае).
Быстрый и простой способ к tar и compress и затем bcrypt.
tar cfj safe-archive.tar.bz2 Directory/ bcrypt safe-archive.tar.bz2 # will ask you an 8 char password twice to lock it up. # But, remember to delete your Directory after this, rm -rf Directory/ # And, I hope you don't forget the password, or your data is gone!
Делает safe-archive.tar.bz2.bfe - который можно переименовать, если Вы чувствуете себя параноиками об этом.
Открыть зашифрованный пакет,
bcrypt safe-archive.tar.bz2.bf3 # Or, whatever you called it tar xfj safe-archive.tar.bz2 # And, your directory is back!
Если бы Вы готовы стать более грязными, я предложил бы truecrypt, и создание зашифрованных томов.
Но, я не думаю, что это необходимо для регулярных данных (как не связанный с национальной безопасностью, скажите).
PS: обратите внимание, что я не предполагаю, что bcrypt слаб или неспособен к национальной безопасности всегда.
Ответьте на комментарии к моему ответу выше.
Я пытался дать простой ответ - и, я соглашаюсь, что мой выбор не предложения Truecrypt как первая опция может быть несоответствующим некоторым здесь.
Вопрос просит простой способ зашифровать каталог.
Мои меры безопасности здесь основаны на двух вещах,
- Что Вы хотите защитить и
- Кто делает Вы хотите защитить его от
Я оцениваю это как уровень Вашей 'паранойи'.
Теперь, не говоря Truecrypt (или другие похожие методы) являются более дорогостоящими,
все, что я хочу сказать, последовательность bcrypt, выполненная в tmpfs, достаточна для Вашего ежедневного использования сегодня
(это не будет так, вероятно, приблизительно через десятилетие, я предполагаю, но это действительно на данный момент).
И, я также предполагаю, что значение данных, защищаемых здесь, не будет сопоставимым для попытки 'восстановления' класса Моны Лизы.
Простой вопрос затем - Вы ожидаете, что кто-то попытается захватить Ваш приводимый в действие - от ноутбука и данных восстановления попытки из его холодного пространства RAM?
Если Вы, вероятно, необходимо пересмотреть аппаратное и программное обеспечение во-первых, действительно проверьте, с которым ISP Вы соединяетесь, кто может услышать Ваши нажатия клавиш и так далее.
PS: Я люблю Truecrypt и использую его. Соответствие OSI или отсутствие его, действительно не имеет значения. И, я не подготавливаю bcrypt и схема, предложенная здесь на конкуренции ему.
Я исключительно использую TrueCrypt для таких вещей. Утвержденный OSI или нет, я нахожу, что это никогда не подводило меня и меня,-have-было нужно шифрование многократно.
Если Вы только волнуетесь по поводу потери Вашего ноутбука, Ubuntu имеет ecryptfs уже настроенный для Вас.
Просто выберите "encrypted home directory", когда Вы создадите свою учетную запись пользователя и дадите ей достойный пароль. Это защитит то, что в Вашей домашней папке.
Да, это зашифрует больше, чем ~/work, но это является бесшовным.
Для /tmp использовать tmpfs.
Профессионалы:
- Вы не должны делать ничего больше, Ubuntu делает все для Вас.
- Ваши друзья могут использовать Ваш готовый к работе компьютер, им только будет нужен пароль, если они захотят получить доступ к Вашим файлам.
Довод "против":
- Существуют другие места, где Вы делаете данные утечки - ответ Жабр является самым завершенным (+1 для него).
Так, если Вы не думаете, что некоторый судебно-медицинский эксперт попытается получить данные из материала, который Вы распечатали, это достаточно хорошо.
ecryptfs может зашифровать подкачку также, но я рекомендую просто отключить подкачку, если этого не произошло с Вами, что Вы вышли из RAM. Жизнь лучше без подкачки. (или просто выполненный ecryptfs-setup-swap и следуйте инструкциям для изменения fstab),
Предупреждение: В любом случае, если Вы просто не получили этот ноутбук, уже существует много материала, записанного в Ваш жесткий диск. Я нашел набор материала в моем, и ничто не уберет его. Необходимо сделать резервное копирование на другой диск или раздел, перезаписать текущую файловую систему с нулями, и восстановить файлы (конечно, только восстановить чувствительные файлы после того, как шифрование будет настроено).